Un attore informatico minaccioso ha preso di mira enti governativi con il downloader di malware PureCrypter, che è stato visto consegnare molteplici “borseggiatori’ di informazioni e ceppi di ransomware. I ricercatori di Menlo Security hanno scoperto che l’attore digitale minaccioso ha utilizzato Discord per ospitare il carico iniziale e ha compromesso un’organizzazione non profit per archiviare host aggiuntivi utilizzati nella campagna. La campagna è stata scoperta per aver consegnato vari tipi di malware tra cui Redline Stealer, AgentTesla, Eternity, Blackmoon e Philadelphia Ransomware”, dicono i ricercatori. Secondo i ricercatori, la campagna PureCrypter osservata ha preso di mira molte organizzazioni governative nelle regioni Asia-Pacifico (APAC) e Nord America. La catena di attacco inizia con una email che ha un URL dell’app Discord che punta a un campione di PureCrypter in un archivio ZIP protetto da password. PureCrypter è un downloader di malware basato su .NET visto per la prima volta in natura a marzo 2021. Il suo operatore lo affitta ad altri criminali informatici per distribuire vari tipi di malware. Quando viene eseguito lo scaricamento, tale virus consegna il carico utile della fase successiva da un server di comando e controllo, che è il server compromesso di un’organizzazione non profit in questo caso. Livio Varriale, direttore di Matricedigitale, spiega in modo esaustivo il meccanismo di tali programmi fraudolenti, alludendo al campione che i ricercatori di Menlo Security hanno analizzato, che era AgentTesla. Quando viene avviato, stabilisce una connessione ad un server FTP con sede in Pakistan che viene utilizzato per ricevere i dati rubati.
I ricercatori hanno scoperto che gli attori minacciosi hanno usato credenziali trapelate per prendere il controllo del server FTP specifico invece di impostare il proprio, per ridurre i rischi di identificazione e minimizzare la loro traccia.
AgentTesla è una famiglia di malware basata su .NET che è stata utilizzata dai criminali informatici negli ultimi otto anni. Il suo utilizzo è aumentato drasticamente alla fine del 2020 ed all’inizio del 2021. Un recente rapporto di Cofense evidenzia che nonostante la sua età, AgentTesla rimane un backdoor economico ed altamente capace che ha ricevuto sviluppo e miglioramento continuo nel corso degli anni. L’attività di keylogging di AgentTesla rappresentava circa un terzo di tutti i rapporti di keylogger registrati da Cofense Intelligence nel 2022. Le capacità del malware includono le seguenti: registra le digitazioni della vittima per catturare informazioni sensibili come le password. Ruba le password salvate nei browser web, nei client di posta elettronica o nei client FTP. Cattura screenshot del desktop che potrebbero rivelare informazioni riservate. Intercepisce i dati copiati negli appunti, inclusi testi, password e dettagli della carta di credito. Esfila i dati rubati.
Con la tecnologia criptovalutaria, sono stati tanti, i soldi al Governo di Zelensky, ma con il tempo i flussi sono diminuiti. In un articolo del Financial Times, si evidenzia altresi’ il ruolo del crypto durante il conflitto in Ucraina. Secondo una società di analisi dei dati blockchain, Elliptic, la raccolta privata di crypto per cause a favore dell’Ucraina ha superato quella delle equivalenti russe di un rapporto di 44 a uno nell’ultimo anno. Complessivamente, più di 200 milioni di dollari in crypto sono stati destinati a cause che sostengono l’Ucraina, di cui più di 80 milioni di dollari sono stati inviati direttamente al governo ucraino. Tuttavia, la società Elliptic segnala che le donazioni sono diminuite significativamente dopo il mese di marzo 2022, mentre le raccolte di fondi in crypto verso la Russia non hanno mostrato segni di cedimento. Inoltre, il gruppo paramilitare Rusich ha cercato di estorcere bitcoin alle famiglie delle vittime promettendo loro le coordinate dei loro cari morti in cambio di denaro. Sebbene ci sia un utilizzo sociale del crypto in Ucraina, il ruolo della tecnologia è complesso e può essere utilizzato in molte direzioni, sia per scopi benefici che negativi.
Gli esperti di sicurezza di Jamf hanno scoperto un malware macOS precedentemente non rilevato, distribuito attraverso applicazioni pirata su The Pirate Bay. Le applicazioni macOS vengono trojanizzate con lo strumento di crypto mining XMRig. Final Cut Pro, l’app di editing video di Apple, è tra le applicazioni trovate con XMRig. I ricercatori hanno anche scoperto che gli attori della minaccia stavano sfruttando i2p (Invisible Internet Project), un livello di rete privata utilizzato per anonimizzare il traffico, per scaricare componenti maligni ed inviare la valuta estratta al portafoglio dell’attaccante. Il malware si basa sulla tecnica di un programma informatico pernicioso precedentemente esistente descritto da Trend Micro nel febbraio 2022, il quale è stato usato per infettare le vittime attraverso la trojanizzazione di Adobe Photoshop e Logic Pro X dal 2019. Il malware è stato aggiornato tre volte dal 2019, rendendolo difficile da rilevare. Il primo tipo di malware può essere intercettato solo attraverso gli strumenti di sicurezza, ma i successivi due non possono. Il malware è stato distribuito attraverso The Pirate Bay utilizzando l’ID utente “wtfisthat34698409672” per rimanere anonimo. Il malware rimane stealthy attraverso i continui controlli che esegue per l’Activity Monitor. Se viene individuato, il malware termina tutti i suoi processi maligni per evitare di essere scovato. Il malware è un avvertimento sui pericoli del download di software pirata da The Pirate Bay. La terza e l’ultima generazione di macOS malware è stata distribuita nell’ottobre 2021.
La gigante canadese delle comunicazioni Telus sta indagando su una possibile violazione dei dati dei dipendenti e del codice sorgente, che sono stati messi in vendita su un forum del dark web. Un individuo che si fa chiamare “Seize” ha dichiarato di avere esfiltrato i dati di Telus e di offrirli in vendita su BreachForums. Tra i dati offerti per la vendita ci sono 76.000 e-mail di dipendenti, un database delle paghe con 770 registrazioni di personale, tra cui le informazioni del presidente di Telus, e infine tutti i repository privati ed il codice sorgente di Telus, compreso l’API di scambio SIM, il tutto per $50.000. Tuttavia, non è ancora chiaro se i dati siano autentici o meno. Uno degli aspetti più preoccupanti riguarda il fatto che i criminali potrebbero utilizzare il codice sorgente per trasferire il numero di telefono della vittima su un dispositivo controllato dall’attaccante e quindi intercettare i codici di sicurezza per hackerare gli account online della vittima. Nel 2020, un’altra società di proprietà di Telus, Medisys Health Group, è stata vittima di un attacco ransomware durante il quale i criminali hanno rubato informazioni personali di circa 60.000 clienti. Il campione che i ricercatori di Menlo Security hanno analizzato era AgentTesla. Quando viene avviato, stabilisce una connessione a un server FTP con sede in Pakistan che viene utilizzato per ricevere i dati rubati.
Il direttore di Matrice digitale Livio Varriale riporta anamnesi e numeri relativi il settore informatico, il quale ad ogni modo registra aumenti progressivi dei costi di manutenzione, servizi, vendita e pubblicita’, sia per le industrie che per i singoli utenti.
